суббота, 31 августа 2019 г.

HildaCrypt

HildaCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: HILDACRYPT v1.0. На файле написано: Encryptor.exe.

Обнаружения:
DrWeb -> Trojan.Encoder.29401
BitDefender -> Trojan.GenericKD.41676054
ALYac -> Trojan.Ransom.HILDA
Avira (no cloud) -> TR/ATRAPS.Gen
Symantec -> ML.Attribute.HighConfidence

© Генеалогия: выясняется, явное родство с кем-то не доказано.




К зашифрованным файлам добавляется расширение: .HILDA!


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.TXT

Содержание записки о выкупе:
---+ HILDACRYPT v1.0 +---
All the files on this computer have been encrypted with a RSA-4096 + AES-256
cryptographic combination. These algorithims are used by the NSA and other
top tier organisations.
Backups were encrypted, and shadow copies were removed. So F8 or any other
methods may damage encrypted data and make it unrecoverable.
We exclusively have decryption software for your situation.
More than a year ago, world experts have recognized the impossibility of
decrypting by any means without the original decryptor.
NO decryption software is available to the public.
Antivirus companies, researchers, IT specialists, and no one else can help
you recover your data.
DO NOT RESET OR SHUTDOWN - file may be damaged.
DO NOT DELETE readme files.
DO NOT REMOVE OR RENAME the encrypted files.
This may lead to the impossibility of your files being recovered.
To confirm our honest intentions, send us 2 different files and you well get
them decrypted. They must not contain any sensitive information and must not
be archived.
To get info (decrypt your files) contact us at:
hildaseriesnetflix125@tutanota.com
or
hildaseriesnetflix125@horsefucker.org
You well receive a BTC address for payment in the reply letter.
HILDACRYPT
No loli is safe :) -- https://www.youtube.com/watch?v=XCojP2Ubuto

Перевод записки на русский язык:
--- + HILDACRYPT v1.0 + ---
Все файлы на этом компьютере были зашифрованы с помощью криптографической комбинации RSA-4096 + AES-256. Эти алгоритмы используются АНБ и другими организациями высшего уровня.
Резервные копии были зашифрованы, а теневые копии были удалены. Таким образом, F8 или любые другие методы могут повредить зашифрованные данные и сделать их невосстановимыми.
У нас есть эксклюзивная программа для вашей ситуации.
Более года назад мировые эксперты признали невозможность расшифровки любым способом без первоначального расшифровщика.
Никакие программы для расшифровки недоступны для общественности.
Антивирусные компании, исследователи, ИТ-специалисты и никто другой не может помочь вам восстановить ваши данные.
НЕ ПЕРЕЗАГРУЖАЙТЕ И НЕ ВЫКЛЮЧАЙТЕ - файл может быть поврежден.
НЕ УДАЛЯЙТЕ файлы readme.
НЕ УДАЛЯЙТЕ И НЕ ПЕРЕИМЕНОВЫВАЙТЕ зашифрованные файлы.
Это может привести к невозможности восстановления ваших файлов.
Чтобы подтвердить наши честные намерения, отправьте нам 2 разных файла, и вы получите расшифровку. Они не должны содержать конфиденциальную информацию и не должны быть архивами.
Чтобы получить информацию (расшифровать ваши файлы), свяжитесь с нами по адресу:
hildaseriesnetflix125@tutanota.com
или же
hildaseriesnetflix125@horsefucker.org
Вы получите адрес BTC для оплаты в ответном письме.
HILDACRYPT
Лоли не безопасна :) - https://www.youtube.com/watch?v=XCojP2Ubuto



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ HildaCrypt останавливает службы Защитника Windows: WinDefend и MBAMService.

➤ Удаляет теневые копии файлов с помощью команды:
vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
important company update september 2019.pdf.exe
Encryptor.exe
READ_IT.TXT
HildaloliLOVESMHTandVK_Intel.exe
 nflxcoreupdate_WOW64.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: https://www.youtube.com/watch?v=XCojP2Ubuto
Email: hildaseriesnetflix125@tutanota.com, hildaseriesnetflix125@horsefucker.org
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HildaCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 28 августа 2019 г.

Good, Goodmen

Good Ransomware
Goodmen Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: RICK.EXE.

Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.GenericKD.32335732

© Генеалогия: выясняется, явное родство с кем-то не доказано.


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .good


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Restore-My-Files.txt

Содержание записки о выкупе:
All your files are encrypted
To return to normal, please contact us by this e-mail: goodmen@countermail.com
Be sure to duplicate your message on the e-mail: datareesstore@tutanota.com
Interesting Facts :
• 1. Over time, the cost increases, do not waste your time
• 2. Only we can help you, for sure, no one else.
• 3. BE CAREFUL !!!If you still try to find other solutions to the problem, make a backup copy of the files you want to experiment on, and play with them.Otherwise, they can be permanently damaged
• 4. Any services that offer you help or just take money from you and disappear, or they will be intermediaries between us, with inflated value.Since the antidote is only among the creators of the virus
Set topic of your message to xvhltavd

Перевод записки на русский язык:
Все ваши файлы зашифрованы
Чтобы вернуться к норме, свяжитесь с нами по этому email-адресу: goodmen@countermail.com
Не забудьте продублировать ваше сообщение на e-mail: datareesstore@tutanota.com
Интересные факты :
• 1. Со временем стоимость увеличивается, не теряйте времени
• 2. Только мы можем вам помочь, точно, больше никто.
• 3. БУДЬТЕ ОСТОРОЖНЫ !!! Если вы все попытаетесь найти другие решения проблемы, сделайте резервную копию файлов, с которыми вы хотите поэкспериментировать, и поиграйте с ними. В противном случае они могут быть навсегда повреждены.
• 4. Любые сервисы, которые предлагают вам помощь, либо просто отнимают у вас деньги и исчезают, либо будут посредниками между нами, с завышенной стоимостью. Так как противоядие существует только среди создателей вируса
Задайте тему вашего сообщения xvhltavd



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Restore-My-Files.txt
RICK.EXE
<random>.exe - случайное название вредоносного файла
BFE.tmp

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\AppData\Local\Temp\BFE.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: goodmen@countermail.com, datareesstore@tutanota.com 
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Good)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie, Leo
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 24 августа 2019 г.

Estemani

Estemani Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.75 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->

© Генеалогия: Turkish FileEncryptor ? > Estemani
Изображение — только логотип статьи

К зашифрованным файлам никакое расширение не добавляется. 
Смотрите подробности в разделе "Технические детали". 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину августа 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_DECRYPT_FILES.txt

Содержание записки о выкупе:
Greetings,
We are pleased to announce successful encryption of your machine.
All the hosts in your network have been encrypted with FUD and powerful encryption algorithm(s) - RSA-2048 + Salsa20.
Any attempt to decrypt data by yourself is futile.
Read more:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Salsa20
The cost for decryption begins from 0.75 Bitcoins (BTC) and depends on your business size.
Email address: estemaniii@airmail.cc
HOST ID: XXCLO***
To avail decryption software and service send details about unique HOST ID and the contact email address and Follow the instructions for hassle free decryption process.
Note: The Host ID and Email addresses are unique and private. Any leak of information will result in direct ban to our services.
We won't be responding to any communications about free decryption. We follow simple business policy - No Money! No Decryption.

Перевод записки на русский язык:
Привет,
Мы рады объявить об успешном шифровании вашей машины.
Все хосты в вашей сети были зашифрованы с помощью FUD и мощного алгоритма(ов) шифрования - RSA-2048 + Salsa20.
Любая попытка расшифровать данные самостоятельно бесполезна.
Прочитать больше:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Salsa20
Стоимость расшифровки начинается с 0.75 биткойнов (BTC) и зависит от размера вашего бизнеса.
Адрес email: estemaniii@airmail.cc
Хост ID: XXCLO***
Чтобы воспользоваться программным обеспечением и сервисом дешифрования, отправьте информацию об уникальном HOST ID и контактном адресе email и следуйте инструкциям для беспроблемного процесса дешифрования.
Примечание. HOST ID и email  являются уникальными и конфиденциальными. Любая утечка информации приведет к прямому бану наших услуг.
Мы не будем отвечать на любые сообщения о бесплатной расшифровке. Мы следуем простой деловой политике - Нет денег! Нет расшифровки.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Подробности о зашифрованных файлах: 
У зашифрованных файлов название не меняется, но к каждому зашифрованному файлу добавляется другой файл с таким же именем и суффиксом .manifest.xml

Пример:
Оригинальный файл = exp_ORCL_FULL_hoy.log
Дополнительный = exp_ORCL_FULL_hoy.log.manifest.xml

Содержимое дополнительного файла:
<Manifest>
<key>5pAZ3vdcNV8TvP9Refh4whseBcv8cQEyTxmUHncSRSFtCUo25RoL7cHc4pKRmX7M5pqpHnhLqBEMQmxQYPFxh26e3Tyu3JDJzphWwJdi1n1e6mk5N7gYwXjJmwKtUYors2wFgP7t18pSta17bmExHsNd8BasHL9cW1pnR2UcakxHV1ERBaLCnuQyDAv75oSCRVDrUL7mJVBNYRGxoQ3ez2bXDCqK6HKifUZ9RYzW1hCrWvmsiFyxjaJPnkAD86fjACyUpy6WnUppbvwXF7NF7yQe9wiTMCjm7nr4kCMp4J2Jw1amwSEpM1oaqoKrxVtEX6mjtFDE3WibADtgQwmdFiHfY9xadF</key>
<filename>exp_ORCL_FULL_hoy.log</filename>
<filesize>14641</filesize>
</Manifest>

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_DECRYPT_FILES.txt
%name%.manifest.xml - местонахождение ключа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: estemaniii@airmail.cc
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), quietman7, adolfo-ve
 Michael Gillespie
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 21 августа 2019 г.

Nemty

Nemty Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $1000 (~0.099 BTC), чтобы вернуть файлы. Оригинальное название: NEMTY PROJECT. На файле написано: fuicpj.exe или что попало. Написан: на C++ (версия 1.0). Разработка тех же авторов, которые ранее распространяли JSWorm

Обнаружения: 
DrWeb -> Trojan.Siggen8.40291, Trojan.Encoder.29411
BitDefender -> Trojan.GenericKD.41613105, Gen:Variant.Ulise.60370
Malwarebytes -> Ransom.Nemty
Symantec -> ML.Attribute.HighConfidence
Kaspersky -> Trojan-Ransom.Win32.Gen.snw

© Генеалогия: JSWorm > Nemty 


Nemty Ransomware
Изображение — только логотип статьи


К зашифрованным файлам добавляется расширение: .nemty

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину августа 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: NEMTY-DECRYPT.txt

Содержание записки о выкупе:
---=== NEMTY PROJECT ===---
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on you computer has extension .nemty
By the way, everything is possible to restore, but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
[+] What guarantees? [+]
It's just a business. We absolutely do not care about you and your deals, except getting benefits.
If we do not do our work and liabilities - nobody will not cooperate with us.
It's not in our interests.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.
In practise - time is much more valuable than money.
[+] How to get access on website? [+]
  1) Download and install TOR browser from this site: https://torproject.org/
  2) Open our website: zjoxyw5mkacojk5ptn2iprkivg5clow72mjkyk5ttubzxprjjnwapkad.onion/pay
When you open our website, follow the instructions and you will get your files back.
Configuration file path: C:\Users\admin

Перевод записки на русский язык:
--- === NEMTY PROJECT === ---
[+] Что случилось? [+]
Ваши файлы зашифрованы и теперь недоступны. Вы можете проверить это: все файлы на вашем компьютере имеют расширение .nemty
Кстати, все можно восстановить, но нужно следовать нашим инструкциям. В противном случае вы не сможете вернуть свои данные (НИКОГДА).
[+] Какие гарантии? [+]
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды.
Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать.
Это не в наших интересах.
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ.
На практике время гораздо ценнее денег.
[+] Как получить доступ на сайт? [+]
  1) Загрузите и установите браузер TOR с этого сайта: https://torproject.org/
  2) Откройте наш веб-сайт: zjoxyw5mkacojk5ptn2iprkivg5clow72mjkyk5ttubzxprjjnwapkad.onion/pay
Когда вы откроете наш сайт, следуйте инструкциям, и вы получите свои файлы обратно.
Путь к файлу конфигурации:



Технические детали

Начальное распространение производится через сайты кибер-подполья. 
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (Rig EK), вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe delete shadows /all /quiet & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet & wmic shadowcopy delete

 UAC не обходит, требуется разрешение на запуск. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых файловых расширений:
.CAB, .cab, .CMD, .cmd, .COM, .com, .cpl, .CPL, .dll, .DLL, .exe, .EXE, .ini, .INI, .lnk, LNK, .log, .LOG, .ttf, .TTF, .url, .URL, .nemty

Список файлов и папок, которые пропускаются при шифровании:
DECRYPT.txt
$RECYCLE.BIN
rsa
NTDETECT.COM
ntldr
MSDOS.SYS
IO.SYS
boot.ini
AUTOEXEC.BAT
ntuser.dat
desktop.ini
CONFIG.SYS
RECYCLER
BOOTSECT.BAK
bootmgr
programdata
appdata
windows
Microsoft
Common Files

Список стран из белого списка:
Russia    
Belarus   
Kazakhstan
Tajikistan
Ukraine  

➤ Разработка Nemty подтверждена авторами JSWord:

Файлы, связанные с этим Ransomware:
NEMTY-DECRYPT.txt
fuicpj.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL:
zjoxyw5mkacojk5ptn2iprkivg5clow72mjkyk5ttubzxprjjnwapkad.onion
zjoxyw5mkacojk5ptn2iprkivg5clow72mjkyk5ttubzxprjjnwapkad.onion/pay
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Мьютекс: hate
Дополнение: fuckav

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 27 августа 2019: 
Топик на форуме >>
Топик на форуме >>
Шаблон расширения: ._NEMTY_<random{7}>_
Пример расширения: ._NEMTY_VOv3Zme_
Пример зашифрованного файла: IMG_0001.JPG._NEMTY_VOv3Zme_
В конце зашифрованного файла имеется маркер, одноименный с расширением, в данном случае это _NEMTY_VOv3Zme_
Записка: NEMTY-DECRYPT.txt
➤ Содержание записки: 
---=== NEMTY PROJECT ===---
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on you computer has extension .nemty
By the way, everything is possible to restore, but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
[+] What guarantees? [+]
It's just a business. We absolutely do not care about you and your deals, except getting benefits.
If we do not do our work and liabilities - nobody will not cooperate with us.
It's not in our interests.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.
In practise - time is much more valuable than money.
[+] How to get access on website? [+]
  1) Download and install TOR browser from this site: https://torproject.org/
  2) Open our website: zjoxyw5mkacojk5ptn2iprkivg5clow72mjkyk5ttubzxprjjnwapkad.onion/pay
When you open our website, follow the instructions and you will get your files back.
Configuration file path: C:\Users\User\_NEMTY_VOv3Zme_


Обновление от 31 августа - 2 сентября 2019:
Шаблон расширения._NEMTY_<random{7}>_
Пример расширения._NEMTY_ZnLsrOE_
Расширение из записки: .nemty
Записка (шаблон): __NEMTY_<random{7}>_-DECRYPT.txt
Записка (пример): __NEMTY_ZnLsrOE_-DECRYPT.txt
Файлы проектов: zazuvu.pdb, risoceha.pdb
Файл EXE: h0ecrnc4.exe
Расположение: C:\Users\Admin \AppData\Local\Temp\h0ecrnc4.exe
Результаты анализов: VT + HA + IA + AR + VMR

Обновление от 7 сентября 2019:
Пост в Твиттере >>
Шаблон расширения: ._NEMTY_<random{7}>_!
Пример расширения:  ._NEMTY_BTKid9H_!
Расширение из записки: .nemty
Записка (шаблон): __NEMTY_<random{7}>_-DECRYPT.txt
Записка (пример): _NEMTY_BTKid9H_-DECRYPT.txt
Файлы: Cashback.exe, temp.exe, iron.bmp
Расположение: C:\Users\Admin \AppData\Local\Temp\
Результаты анализов: VT + VT





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet + Tweet
 ID Ransomware (ID as Nemty)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie, Vitali Kremez
 Andrew Ivanov (author)
 CyberSecurity GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton